SIO: dane o uczniach mogą wyciec - uważa GIODO

Eksperci krytykują przygotowane przez Ministerstwo Edukacji Narodowej zasady weryfikacji dostępu do Systemu Informacji Oświatowej (SIO). Będą w nim gromadzone dane o wszystkich uczniach i nauczycielach wraz z numerem PESEL.

Weryfikacja bez hasła

Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych, zwraca uwagę, że zgodnie z projektem rozporządzenia w sprawie procedury weryfikacji dostępu do bazy danych SIO osoba upoważniona otrzyma jedynie niepowtarzalny identyfikator użytkownika z zachowaniem środków zapewniających poufność przekazanych danych. Projekt nic nie mówi o dodatkowych zabezpieczeniach, które pozwoliłyby na uwierzytelnienie upoważnionych osób podczas logowania się do bazy, np. haśle, numerze PIN czy jednorazowym kodzie.

Resort twierdzi, że dane będą odpowiednio chronione i zabezpieczone przed osobami nieuprawnionymi, a identyfikator ma być wydany w sposób poufny, np. w wydzielonym pokoju, w specjalnej kopercie. Każdy jednak, kto np. znajdzie taki identyfikator czy przypadkiem zapozna się z jego treścią, będzie miał dostęp do SIO.

– Dane w SIO powinny być szczególnie chronione – uważa Małgorzata Szumańska z Fundacji Panoptykon. – Tymczasem zaproponowane rozwiązania koncentrują się na procedurze wydawania ogólnego upoważnienia. Brakuje szczegółowych warunków uwierzytelnienia dostępu dla osoby upoważnionej. A takie zabezpieczenia są niezmiernie ważne, bo baza SIO jest duża i może budzić zainteresowanie wielu podmiotów – podkreśla.

Krótkie terminy

Uwagi do projektu mają również samorządowcy. Upoważnienie dla dyrektorów placówek, m.in. szkół i przedszkoli, będą wydawać wójtowie, burmistrzowie i prezydenci. Aby uzyskać identyfikator, trzeba wypełnić elektroniczny formularz. Samorząd będzie miał pięć dni na zweryfikowanie podanych w nim danych. Zdaniem samorządowców to za mało.

– Okres ten powinien być wydłużony do dwóch tygodni – uważa Iwona Waszkiewicz, dyrektor wydziału edukacji w Bydgoszczy. W jej mieście działa 120 przedszkoli i szkół. Jeśli wszyscy dyrektorzy złożą wnioski w tym samym czasie, to urzędnicy nie zdążą sprawdzić ich w ciągu tygodnia.

Dostęp bez ograniczeń

Eksperci zauważają również, że rozporządzenie nie wskazuje, kiedy niepowtarzalny identyfikator zostanie zablokowany. Zgodnie z ustawą o SIO kierownik podmiotu przesyłającego lub pobierającego dane z SIO, np. dyrektor szkoły, wójt, prezydent, kurator oświaty, może pisemnie upoważnić pracowników do dostępu do SIO na czas nie dłuższy niż pięć lat. W efekcie dostęp będą mieli właśnie upoważnieni pracownicy. Co prawda ustawa mówi, że jest on blokowany z dniem przekazania do SIO informacji o cofnięciu upoważnienia, ale nie musi  ona przecież dotrzeć natychmiast. Jeśli ktoś zapomni o jej szybkim wysłaniu, może się okazać, że dostęp będzie miała osoba niebędąca już pracownikiem oświaty.

masz pytanie, wyślij e-mail do autorki j.ojczyk@rp.pl

Jakie informacje zbierze resort

W obecnie funkcjonującym systemie informacji oświatowej znajdują się tylko dane zbiorcze. Można dowiedzieć się z nich, ile dziewcząt i chłopców chodzi do szkół, ilu uczniów jest w poszczególnych rocznikach czy w danej szkole, ilu uczy się języków obcych. Informacje nie są spersonalizowane. W nowym SIO, który zacznie funkcjonować 1 września 2012 r., znajdą się indywidualne dane o blisko 7 mln przedszkolaków i uczniów chodzących do szkół podstawowych, gimnazjalnych i ponadgimnazjalnych. Obok numeru PESEL będą informacje o miejscu urodzenia i zamieszkania, korzystaniu z pomocy materialnej, uzyskaniu – lub nie – promocji do następnej klasy, a także rodzaju badań, jakie uczeń przeszedł w poradni psychologiczno-pedagogicznej, i otrzymanych zaleceniach.

Czytaj także w serwisach:

Samorząd

»

Zadania

»

Oświata i edukacja

Prawo dla Ciebie

»